1回答
我已经在网上搜寻了一些更全面的解决方案。我的努力没有成功,所以我发出了求救的电话。
问题:我有一个使用windows集成身份验证的.Net/C# WebApp。该应用程序是一个自定义表单应用程序,允许用户提交请求。然后,这些请求将被路由到主管和将审查和批准这些请求的其他方。
出于审计的目的,我必须让每个主管在表格上“签名”。简单的解决方案-使用活动浏览器会话信息。用户单击"approve“按钮,该信息(ID和日期/时间)将被记录到数据库中。但是审计人员不喜欢这个解决方案。他们认为这是不安全的。他们想要一个单独的凭证挑战,强制用户输入ID和密码(很快就会提供令牌/PIN组合来代替ID/密
浏览 4提问于2015-09-19得票数 0
有谁能解释一下,一个CA如何才能满足规范要求:
ETSI EN 319 411-2或ETSI TS 101 456
"7.2.2核证机关密钥储存、备份和恢复. c)只有在实际安全的环境中至少使用双重控制的可信角色人员才能备份、储存和恢复CA私钥(见第7.4.4条)。授权执行这一职能的人员人数应保持在最低限度,并与CA的做法保持一致;“
并在整个“安全世界”(包括CA私钥)磁带上进行自动每日备份,以实现快速的灾难恢复解决方案。
我知道安全世界是在双重控制下创建的,但是每天的备份都是自动完成的。
此外,我知道恢复只能通过双重控制,但是否符合上述ETSI要求?
对于我来说,最不清楚的一点是每
浏览 0提问于2015-10-27得票数 2
我对在Oracle和oracle vault上启用审计(审计试验) syslog审计感到困惑。
在我看来,当用户使用oracle用户登录和注销时,syslog审计更多地与操作系统相关:
*.audit_sys_operations=TRUE
*.audit_syslog_level='local1.warning'
*.audit_trail='OS'
另一方面,oracle vault“限制任何用户对Oracle数据库中特定区域的访问,包括具有管理访问权限的用户”。
我看不出主要的区别,有时我看到它们是相关的,你能澄清我的困惑吗?
非常感谢。
浏览 3提问于2017-05-07得票数 1
1回答
我正在对OASP最佳实践进行审计,我的目标是确定当我从前端发送数据时发生的所有主要安全线程,直到数据保存到数据库中为止。
上下文。
Json数据:它是一棵根据UI操作增长/减少的树,JSON是一个前端函数的格式。
前端:自定义UI,它在JS对象中生成一个团队成员列表,并将其追加/移除,数据输入不会存储在任何HTML元素中以防止XSS,但不确定代码中是否存在任何潜在的XSS:
函数创建元素:
const newTeam = {
name,
emoji,
parent_id: parentTeamId,
children: [],
浏览 2提问于2021-09-26得票数 1
我有mdb格式的ms访问文件。我希望在一个表上启用审计跟踪。对于每次更改,我都需要修改审计跟踪表中的行详细信息。
这里的问题是,表不使用表单更新/插入/删除,而且它有复合主键。如果我们使用.accdb格式(2010年访问-通过启用数据宏),我们可以启用审计跟踪。但我不想改变现有的文件格式。有办法这样做吗?请建议一下。
浏览 3提问于2013-12-06得票数 3
回答已采纳
我有一个很大的项目,使用SQL Server作为它的数据库。我将把数据库交给DbAdmin进行恢复。但是我不想知道DbAdmin的数据库或数据的结构。
一种解决方案是使用加密,但它的性能并不好。
监控可以做DbAdmin活动吗?
有没有更好的机制来做到这一点?
有没有可以做到这一点的软件?
浏览 0提问于2014-04-20得票数 0
TL;
博士
是否有用于IT安全分析/审计的技术框架(包含受国际标准(如COBIT,ISO 27000)规范的检查列表的流程)?
你好,
假设你是个软件开发人员。您需要创建一个web应用程序来管理数据库中的信息。您将遵循的在这里交付软件的过程如下
数据库建模(使用ER图等工具)
软件体系结构建模(使用UML )
使用DBMS (ex : MySQL)和SQL实现数据库
用MVC等设计模式和Java等编程语言进行软件编程
IT安全框架是一系列文档化的流程,用于定义围绕企业环境中信息安全控制实施和持续管理的策略和过程。
来源:https://searchsecurity.techtarget.co
浏览 0提问于2019-06-05得票数 1
您希望从安全审计日志中获得哪些功能?难道就不能改变它,并确保你知道是谁写的吗?您这样做是通过对前一个条目进行散列并对日志条目进行签名?我错过了什么吗?
我们讨论的是一个服务器应用程序,它应该记录不能被篡改的财务数据,这样就可以重建所有相关的数据。
浏览 0提问于2016-07-19得票数 1
2回答
开发人员创建了WCF web服务。它获取用户的用户名和密码(以散列形式),并让他们访问数据(如果它们存在于我们的数据库中)。我认为,默认情况下,WCF会记录每个请求和响应。在消息日志中,我只看到
<MessageLogTraceRecord>... stream ...</MessageLogTraceRecord>
我怎么才能知道那条流里有什么?
注意:我只想知道用户使用他们的登录凭据连接到web服务时是通过还是失败(对或错)。
提前谢谢。
浏览 2提问于2012-01-20得票数 1
回答已采纳
1回答
如果插入、更新或删除行,则需要在"user_audit“表中插入一行,并包含所有用户数据和操作列,以注意所执行的操作。
我使用spring批处理、spring数据JPA将数据插入到用户表中。
我如何使用spring数据JPA在春季批处理中实现这一点,或者是否有JPA/hibernate提供的任何实现?
浏览 0提问于2020-03-13得票数 2
1回答
我正在努力提高我们的MySQL数据库的安全性。具体来说,数据库为客户的病人存储健康信息(所谓的PHI),我们希望将患者的姓名和其他识别信息从他们的健康数据中分离出来。如何处理这个问题?
我想出了一个想法:维护一个键来将各种识别数据连接在一起,另一个键用于连接健康信息。它们将以特殊的“编码密钥”相互映射,只有当临床用户登录时才可用。有人对这种方法有想法吗?
浏览 6提问于2014-06-12得票数 0
回答已采纳
我需要检查黑客是否修改或更改了表,或者在PHPMyAdmin的MySQL数据库中添加了列,或者他是否更改了服务器上的Wordpress文件,这样他就可以继续以邪恶的目的攻击我的网站。
我注意到,自7月19日以来,网站点击率下降了超过2/3,我想知道发生了什么。这张照片显示我有1800次访问,但图表显示在上只有600次访问,我立即感觉到我的网站被黑客攻击了,有人窃取了我的流量。所以我说,“你在18号上安装了什么插件或主题?”我在18日安装了一个购买的插件。
我注意到几天前在没有我许可的情况下安装了一个叫做SQL Executioner的可湿性粉剂插件。知道我在18号或19号安装了一个插件,我想S
浏览 2提问于2015-07-27得票数 0
我已经看到一些软件系统具有审计和日志功能。这两种功能似乎都只是在做同样的事情--记录用户在场景背后的所有动作。数据库中甚至有各自的审计表和日志表。如果他们真的在做同样的事情,为什么开发人员会在系统中开发重复的功能呢?
浏览 0提问于2011-07-10得票数 14
回答已采纳
这是预防问题:)
在配置Server 2008 R2数据库引擎时,我检查了不需要的“启用C2审核”。从那时起,它创建了许多文件,如audittrace20130918235148.trc。我通过取消复选框禁用了中的C2审核。
这些文件真的来自C2审核吗?如果是这样的话,我是否可以安全地删除它们而不用担心存储在数据库中的数据?再说一遍:我不需要审计日志。
浏览 0提问于2013-09-22得票数 1
回答已采纳
请描述您的问题
标题:年底大酬宾-腾讯云
地址:https://cloud.tencent.com/act/bargin?utm_source=portal?utm_medium=login&utm_campaign=year-end-promotions&utm_term=1201
浏览器信息
Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.75 Safari/537.36
浏览 500提问于2017-12-27
1回答
我已经使用FastCGI处理程序在iis上设置了一个新的Python站点。站点在iis中启用了windows身份验证,应用程序在访问站点时检查AD用户是否属于活动目录组。如果授权失败,访问将被拒绝。
Windows身份验证使用Kerberos,但它不是双跳。
但是,web应用程序对Server数据库进行读/写,而DB调用则使用运行应用程序池的服务帐户进行。服务帐户对运行web应用程序的访问权限有限,并且只能访问web应用程序使用的一个数据库。
我已经读过,从DB安全的角度来看,使用受限的委托进行模拟会更好。尽管应用程序确实记录了哪个用户已经访问了db。
我现在不记得网址了。但它实际上是说SQL
浏览 0提问于2022-04-13得票数 0
刚刚完成实名认证,页面下面提示说可以领取免费试用6个月,请问是如何领取,在哪里操作呢?
点立即领取后里面又显示只有15天免费,而且是名额没有了?是我哪里没弄对吗,麻烦相关工作人员帮忙看看,指导一下,谢谢!
image.png
image.png
浏览 690提问于2019-04-28
2回答
我计划在grails中使用审计日志插件,只想知道一些基本知识。
我们必须手动创建审核域类并将数据保存到此表中,以手动方式处理域类中的各种事件,对吗?
我的意思是插件不会创建域和持久化,我是sure..but,这是保存审计数据的标准方法吗?也是
如果我希望审计日志中的条目类似
“用户sam”在“时间戳”下从"IP“登录,并更新了用户george。
我需要在域中的"onLoad"事件中处理它,对吗?
此外,我如何跟踪简单的事件,如
“用户Rita在”时间戳“登录”
谢谢
浏览 0提问于2012-03-09得票数 0
回答已采纳
我正在为一个客户做一个安全审计。他们的安装是Drupal 6.22。我得让他们看看这不安全。什么是最简单的方法来破解它作为一个例子?
我需要直接向他们展示这些步骤,所以这必须是相当详细的说明。它们安装了以下模块:
管理菜单
颜色
评论
数据库测井
帮助
PHP过滤器
分类学
更新状态
化妆舞会
CKEditor
AES
以下是一些常见的设置:
服务器Apache/2.2.3
MySQL数据库5.0.77
PHP 5.2.17
update.php保护
文件系统可写
register_globals禁用
浏览 0提问于2012-02-02得票数 2
我正在尝试为Veeam备份服务器设置审核。
我使用了STIG - https://www.stigviewer.com/stig/ms_sql_服务器_2016年_实例/的审计规范。
目前,我还没有设置任何数据库审核,只是上面链接的服务器。
审核每4分钟写1gb。每天超过100 day!
有办法把尺寸缩小吗?也许从审计中删除选择陈述?如果是的话,我怎样才能做到。请指点教程什么的-我找了好几天了.
提亚
浏览 0提问于2020-05-22得票数 1
回答已采纳
我有一个审计即将到来,我想知道,在审计一个ERP系统的数据库时,一个审计师会寻找什么样的物理、电子和逻辑访问控制。我对这一过程非常陌生,任何指导都将不胜感激。
浏览 0提问于2011-05-18得票数 8
回答已采纳
1回答
形势:
我正在研究一些基本的SQL审计设置(为了遵从性和安全性),包括服务器和数据库级别的规范。我知道规范组应该拥有我所需的90%的遵从性要求,但是有一个关于生成后如何处理日志的问题。在某些情况下,我还需要语句级/DML日志记录。
我所看到的选择:
生成到文件(S)作为.sqlaudit文件,并编写一个SQL查询/作业来获取它们并将它们存储/插入到一个单独的“审核”数据库中,然后利用SSRS进行前端过滤和报告?
将审计事件发送到Windows /Application日志,然后使用Powershell将日志解压缩到用于过滤和报告的前端脚本,可能会使用简单的外网格视图进行过滤等等。
使用扩展事件
浏览 0提问于2019-06-14得票数 0
我正在寻找一种干净的方法在MS中进行审计跟踪,因为遵从性的原因,最好是完全在数据库端,而不涉及web应用程序。
在谈到审计跟踪时,我指的是在数据级别上对数据库所做更改的完整日志。那么,是谁改变了什么和什么时候?
我有一个以活动目录作为身份验证后端的设置,我需要开发一个基于Java的web应用程序。
因此,为了获得有效的审计跟踪,我需要有关于谁更改了什么和什么时候的信息。AFAIK有一个叫做Server审计的特性,它可以提供这个功能。
我的问题是关于MS方面的用户管理和身份验证。web应用程序应该使用AD用户,然后访问数据库。因此,我同意需要web应用程序将AD用户转发到MS,以便在审计跟踪中显
浏览 0提问于2019-07-16得票数 0
请描述您的问题
标题:2017腾讯云11.11大促 给你实实在在的优惠
地址:https://cloud.tencent.com/act/double11?utm_source=portal&utm_medium=banner&utm_campaign=1111&utm_term=1024
浏览器信息
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
浏览 428提问于2017-11-10
我们有Office365 E3并且知道90天的历史限制。接下来,我们可以使用AdminTool或脚本来记录和构建我们自己的数据库。然而,是否有办法获得更长的历史,因为我们希望检查过去几个月(例如两年前)的日志,我的问题分为三个部分:
是否可以不考虑成本(我们打电话给微软并支付费用)?
如果可能的话,如果我们有E3,我们该怎么做呢?
是否有更明智的方法(如果上面的方法是不可用的)来发现一个用户是否在6个月前访问了资料,如果我们有E3?
谢谢。
浏览 0提问于2019-05-10得票数 2
我试图针对供应商提供的数据库进行编程,并希望了解他们正在调用的SQL语句或过程。
有办法监视特定的数据库吗?系统是在同一个实例中使用生产数据库和测试数据库建立的(因此监视实例太广了)。
浏览 0提问于2013-07-15得票数 2
1回答
这个主题说的都是真的。
有没有人知道是否有一种方法可以执行anyone代码来修改数据库(使用OE审核活动)并绕过OpenEdge的审计功能?
因此,假设有一个启用审计的数据库和一个名为client的名为client的用户表,其OpenEdge审核设置为监视针对客户端表的CRUD操作。
是否可以以编程方式更新客户端表,同时确保没有创建审计记录?
谢谢
浏览 4提问于2016-07-18得票数 0
回答已采纳
1回答
我是PostgreSQL的新手。我有一个数据库名employee (id、姓名、地址、电话号码、薪水)。我想做一个备份的员工详细信息,如果任何人的Phno,地址和工资发生了变化。有没有什么方法可以使用pg_dump来实现,或者我应该满足于触发器方法,它可以将原始元组输出到另一个表中,例如,如果有任何更改,就进行备份。
请,如果有人可以详细说明如何开始使用pg_dump这一点。
浏览 2提问于2017-10-15得票数 0
如果我对有超过100百万行的生产数据库启用审计,并且有持续的DML语句(24小时),这会对SQL服务器性能或tempdb造成任何开销吗?这会增加数据库及其监视的.ldf日志大小吗?
有什么问题是我应该知道的吗?
浏览 0提问于2018-11-15得票数 1
回答已采纳
1回答
作为安全审计的一部分,客户要求提供一些文件--通常的东西--数据分类策略、事件管理策略等等。他们还要求一份空白的雇佣合同。我看不出这对安全审计有什么真正的用处,他们在这个文档中寻找的是什么?
浏览 0提问于2017-04-06得票数 2
回答已采纳
我想知道是否所有wordpress主题的内容都有类似的类名。例如,我知道二十一零和二十一号的帖子/内容类是
.entry-content
如果没有,我将如何使用jQuery引用所有主题的内容?
例如$j(‘..entry content’).css(‘color’,'red');
谢谢
浏览 0提问于2012-06-15得票数 0
回答已采纳
我已经做了一个基本的javascript游戏的二十一点(21)的页面不刷新/post。我希望它能改变一个实体在一个数据库(钱)没有一个用户能够很容易地访问的页面/方法来改变数据库。我在想ajax,但即使这样,用户也可以找到页面,然后访问数据库。有没有更好的方法呢?谢谢。
浏览 0提问于2011-01-17得票数 0
1回答
是否有可能获得对架构所做的所有更改,例如在创建、创建日期时首先分配给模式的特权,如果后来使用不同的特权修改了priv,则当模式被删除时,基本上需要在年底时进行审计,在年底时,他们将要求选择的模式全年的所有信息。
是否可以从数据库中获取这些数据?我已经为sys操作启用了标准DB审核。版本12.1.0.2和11gR2。
浏览 0提问于2016-04-23得票数 0
2回答
我在一个处理身份验证/授权的系统上工作,需要跟踪个人登录的尝试,对权限/用户的更改,失败的尝试等。我们希望能够将这些信息解析到数据库中,以便以后进一步分析/检索。
在我们当前的实现中,我们使用的是一个自制的标准,该标准使用日志框架(在本例中为Log4j,但这并不重要)进行日志记录。日志记录框架是跟踪这些信息的正确机制吗?对我来说似乎不是;我一直认为日志记录是代码的一种解剖形式-更多的是为了告诉我在调试时发生了什么。对我来说,这更像是一种报告机制。对于这种类型的问题,有什么标准吗?有没有人们使用的标准解决方案/格式?使用日志记录框架是正确的解决方案吗,还是有更好的方法来处理这种类型的数据?在查看
浏览 4提问于2011-05-20得票数 0
回答已采纳
我有一个扑克和二十一点游戏,它在MySQL数据库中存储了一副基础纸牌。为了洗牌,我使用order BY RAND()对表进行了随机排序,并按此顺序将牌插入到另一个表中。使用RAND()会导致现实的赔率,这会被发现是玩真牌和物理洗牌,还是这个函数不够随机?
浏览 2提问于2011-02-19得票数 2
回答已采纳
我的环境中大约有1500台Windows服务器,大约有1000台2012年R2和500个2016。
我有一个大约150个事件I的列表,我被告知要记录和存档。我不知道需要启用哪种审计策略才能成功地对每个审计策略进行审计。我不想打开所有的东西,因为这样做对性能的影响太大了。除了研究电子表格中的每个事件ID和确定我需要启用的审计策略之外,还有更好的方法来处理这个任务吗?
浏览 0提问于2020-02-21得票数 1
回答已采纳
1回答
我们运行的是SQL Server2008 R2,包含敏感数据和不同用户角色的数据库很少。
到目前为止,我一直在使用SSMS审计功能来检查更改,但我也想做一些报告(每周,每月),如果有一个简单的方法?
浏览 0提问于2014-02-05得票数 0
我试图通过审计,但它有时会让我感到困惑。例如,如果我想监视一个文件的所有者是否发生了变化,我会使用类似这样的方法
-a always,exit -F path=/home/user/test.txt -S chmod -k changed
但是我已经看到有不同的chmod系统调用,fchmod,fchmodat。我需要指定所有它们吗?或者是他们中的一个。
我(在某种程度上)意识到了编程观点的不同,但这与auditd相关吗?
例如,如果我使用chmod,是否仍然会发生所有者被更改而auditd没有注意到的情况?
或者另一个例子:删除目录。rmdir,unlink,unlink。
我应该选择什么?
浏览 20提问于2020-03-10得票数 0
回答已采纳
4回答
大型数据库表的数据完整性
、、、
我必须为大型数据库表提供数据完整性。因此,如果一个狡猾的管理员手动更改表(而不是通过UI),我希望能够检测到它。
我的想法是为每个记录设置HMAC,并在用户通过UI更改表时计算表的增量HMAC:
为第一次记录计算HMAC - HMAC_Current.
计算新记录- HMAC_i的HMAC
将表的新HMAC计算为HMAC_Current = HMAC(HMAC_Current + HMAC_i)。
优点:
当用户通过UI添加记录时,不需要每次计算整个表的HMAC。
缺点:
当用户删除或更改记录时,我必须重新计算表的HMAC,从此记录到表的末尾。
当我想检
浏览 1提问于2011-09-13得票数 3
回答已采纳
如标题所示,我正在寻找行业最佳实践,以使能够在多种Windows服务器上(从2000、2003、2008/R2和2012年开始),允许PowerShell在远程服务器上执行命令。
如果攻击者破坏内部系统,需要遵循哪些安全最佳实践来限制攻击表面?
是否可以对已启用WinRM的域服务器进行加固?
从理论上讲,这里想到的一个想法是只允许WinRM用于具有双因素身份验证的特定服务帐户。正常域帐户密码和滚动安全令牌将降低此帐户在遭到破坏时被劫持的可能性。
浏览 0提问于2015-03-27得票数 1
1回答
ADB上有哪些数据掩码选项。Oracle文档似乎提到了数据掩蔽的限制:
删除的Oracle功能列表- Oracle数据掩码和子设置包
浏览 6提问于2021-11-24得票数 0
我们的一个主要分支机构的文化非常开放和松散。历史上,当人们需要更多的端口在他们的空间,他们可以抓住一个开关,从一个人可以进入我们的设备室,这是可以的管理。
这对我来说不太好。我有大约30个不同口味的小型桌面类开关,它们通过补丁面板连接到初级接入级别的设备,比如Cisco 3750's。我想集中分布小型交换机,防止无文件记录的扩展,但需要关于如何最好地解决这一问题的建议。
我考虑进入每个桌面交换机,关闭所有未使用的端口,然后限制在用端口为一个单一的MAC。问题是,并不是所有的桌面版本都像思科企业设备上的端口安全一样容易支持这一点。我考虑过在3750's号上游做港口安全,但总的来说
浏览 0提问于2014-03-06得票数 1
回答已采纳
1回答
许多区块链项目都在其网站上进行了智能合同安全审计,并在社交媒体上发布了这方面的信息。
这些审计是什么?
我的项目需要吗?
浏览 0提问于2022-10-24得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
